Da nepoštivanje GDPR-a na temu iz naslova može donijeti drastičnu kaznu od gotovo 400.000 EUR, pokazuje nam slučaj iz Norveške.
Pojedinac je nadzornom tijelu za zaštitu osobnih podataka podnio tužbu protiv norveške uprave za ceste zbog izostanka brisanja zapisa o korištenju autoceste, koji su uključivali registarske oznake, lokaciju i vrijeme prolaska.
Pri tom je pojedinac imao dokaze da su u bazama bili zapisi još od 2008. godine.
Nadzorno tijelo je utvrdilo da postoji valjani pravni temelj u zadržavanju tih podataka u skladu s računovodstveno-poreznim propisima, odnosno, rokovima u kojima se vjerodostojne računovodstveni dokumenti moraju pohranjivati, što je u Norveškoj 5 godina.
Međutim, norveško uprava za ceste priznala je da nisu mogli izbrisati zapise za koje više ne postoji nikakva zakonitost zadržavanja jer funkcionalnost brisanja nije omogućena u softveru.
Nadzorno tijelo je utvrdilo da je uprava za ceste bila odgovorna osigurati funkcionalnost brisanja zapisa i osobnih podataka koji nemaju nikakav pravni temelj zadržavanja i kaznilo ih je zaista ogromnom kaznom.
Poruka svim voditeljima obrade je da prilikom GDPR usklađivanja moramo izraditi Evidenciju aktivnosti obrada i za svaku aktivnost obrade utvrditi i rokove zadržavanja obrađivanih osobnih podataka za svaku svrhu u koju se koriste, i po isteku tih rokova ih moramo brisati ili na siguran način uništiti. Hoće li funkcionalnost brisanja biti ručna ili automatizirana, manje je bitno.
U članku 30. GDPR-a navodi se obveza vođenja Evidencija aktivnosti obrada i njezin obvezni sadržaj.
U stavku 1. točki (f) nalaže se i definiranje, ako je to moguće, i predviđenih rokova za brisanje različitih kategorija osobnih podataka.
Više o norveškom slučaju:
https://gdprhub.eu/index.php?title=Datatilsynet_(Norway)_-_18/04147&mtc=today
Image by snow-dog from Pixabay
